1、億陽網(wǎng)警BOCO.SFW-3000系列防火墻（V2.2.8）,億陽安全技術(shù)有限公司 ,一、信息安全基礎(chǔ)簡(jiǎn)介 二、防火墻技術(shù)簡(jiǎn)介 三、億陽網(wǎng)警防火墻產(chǎn)品介紹 四、億陽網(wǎng)警防火墻快速安裝 五、億陽網(wǎng)警防火墻基本配置 六、億陽網(wǎng)警防火墻典型應(yīng)用 七、FAQ,一、信息安全基礎(chǔ)簡(jiǎn)介,信息安全的定義,信息安全的三個(gè)表現(xiàn)方面 機(jī)密性（信息只有經(jīng)過授權(quán)的用戶采允許訪問，不被泄露） 完整性（信息在處理和交換過程中前后的一致性，沒有被修改） 抗抵賴性（信息在處理和交換的過程中，其主體的身份不可被冒充）,信息安全工作的兩個(gè)方面,客體安全 面向數(shù)據(jù)和信息的安全 主體安全 面向訪問者（人）的安全,信息安全事件的模式,攻

2、擊工具 攻擊命令,攻擊機(jī)制,目標(biāo)網(wǎng)絡(luò),目標(biāo)系統(tǒng),攻擊者,主體,客體,攻擊事件和過程,信息安全的威脅主體,內(nèi)部人員（占絕大部分） 準(zhǔn)內(nèi)部人員 外部個(gè)人和小組（所謂黑客） 競(jìng)爭(zhēng)對(duì)手和恐怖組織 敵對(duì)國(guó)家和軍事組織 自然和不可抗力,信息安全的客體脆弱性,系統(tǒng)自身導(dǎo)致的脆弱性 原理性的問題 BUG 有意（惡意） 管理不當(dāng)導(dǎo)致的脆弱性 環(huán)境安全脆弱性,常見的攻擊手段,社會(huì)工程學(xué) 物理攻擊 行為學(xué)攻擊 系統(tǒng)攻擊 偵察攻擊 入侵攻擊 拒絕服務(wù)攻擊（DoS：Denial of Service）,信息安全的幾個(gè)特性（一）,安全的相對(duì)性原則 沒有100%的絕對(duì)安全，只有相對(duì)的安全 安全是在一定的成本代價(jià)下，將風(fēng)險(xiǎn)降

3、到最低的一個(gè)過程 安全建設(shè)需要權(quán)衡以下關(guān)系： 可用性與安全性 易用性與安全性 經(jīng)濟(jì)性與安全性,信息安全的幾個(gè)特性（二）,木桶原理 安全是一個(gè)分布性多層次的問題 任何一個(gè)環(huán)節(jié)出了問題，其余的層次安全強(qiáng)度再高也沒有意義 系統(tǒng)的安全性取決于系統(tǒng)中最薄弱的一環(huán)！,千里長(zhǎng)堤，潰于蟻穴,信息安全的幾個(gè)特性（三）,三分技術(shù)、七分管理 信息安全是一個(gè)系統(tǒng)工程，單純靠技術(shù)無法解決整體問題 信息安全不是靠技術(shù)產(chǎn)品的堆砌，需要用管理的手段將這些產(chǎn)品功能發(fā)揮至最大,二、防火墻技術(shù)簡(jiǎn)介,防火墻的概念,防火墻的本義原是指房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。然而，多數(shù)防火墻里都有一個(gè)重要的門，

4、允許人們進(jìn)入或離開房屋。因此，防火墻在提供增強(qiáng)安全性的同時(shí)允許必要的訪問。 計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中的防火墻(Firewall)指位于不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合，作為不同網(wǎng)絡(luò)安全域之間通信流的惟一通道，并根據(jù)用戶的有關(guān)安全策略控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出不同網(wǎng)絡(luò)安全域的訪問。,防火墻部署模型,防火墻的作用,在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(即通常講的內(nèi)部網(wǎng)絡(luò))的連接，同時(shí)不妨礙本地網(wǎng)絡(luò)用戶對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信，僅讓安全、核準(zhǔn)了的信息進(jìn)入，抵制對(duì)本地網(wǎng)絡(luò)安全

5、構(gòu)成威脅的數(shù)據(jù)。因此，防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)，迫使用戶強(qiáng)化自己的網(wǎng)絡(luò)安全政策，簡(jiǎn)化網(wǎng)絡(luò)的安全管理。,包過濾,數(shù)據(jù)包 -,包過濾策略1: - 通過,包過濾策略2: - 丟棄,包過濾策略n,包過濾策略3: - 丟棄,包過濾策略4: - 丟棄,按包過濾策略順序逐條匹配，直到匹配到某一條策略時(shí)，按該策略所設(shè)定的動(dòng)作對(duì)數(shù)據(jù)包進(jìn)行處理，如果所有策略都不區(qū)配，則防火墻丟棄該數(shù)據(jù)包 在上圖中，該數(shù)據(jù)包將匹配到策略4，防火墻按該策略定義的動(dòng)

6、作對(duì)數(shù)據(jù)包做丟棄處理,NAT,地址轉(zhuǎn)換可以起到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和解決IP地址不足的問題。億陽網(wǎng)警防火墻支持雙向地址及服務(wù)轉(zhuǎn)換功能（SNAT和DNAT）： SNAT在IP層上通過對(duì)源地址的轉(zhuǎn)換提供IP地址(池)復(fù)用，解決IP地址不足的問題，對(duì)外隱藏內(nèi)部的網(wǎng)絡(luò)地址； DNAT在IP層上通過對(duì)目的地址的轉(zhuǎn)換可以達(dá)到外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)中服務(wù)器的訪問，實(shí)現(xiàn)解決IP地址不足和對(duì)外隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。,NAT,防火墻 外網(wǎng)口: ,數(shù)據(jù)包 :2234-:80 SYN :2543-:80 SYN :2234-:

7、80 SYN :2234-:80 SYN,狀態(tài)表 :2234-:80 應(yīng)答 0- :2234 SYN :2543-:80 應(yīng)答 0- :2543 SYN :2234-:80 應(yīng)答 0- :2238 SYN :2234-:80 應(yīng)答 0- :2234 SYN :1342-:80 應(yīng)答 0

8、:80-:1342 SYN,數(shù)據(jù)包 :1342-:80 SYN,NAT策略 來自/24數(shù)據(jù)包 源地址- 到:80數(shù)據(jù)包 目的地址-0,SNAT,Internet,FW內(nèi)口：66,FW外口：66,1,DNAT,Internet,FW內(nèi)口：66,FW外口：66,Ftp Server,防攻擊,數(shù)據(jù)包 :2231-:135 SYN :2542-:135 S

9、YN :1233-:135 SYN :4234-:135 SYN :2265-:135 SYN :2237-:135 SYN :2238-:135 SYN :2239-2.2.2.n:135 SYN,目前病毒泛濫，中毒的機(jī)器瘋狂地向外部發(fā)起掃描以尋找其他機(jī)器的漏洞從而將病毒感染到其他機(jī)器。通過對(duì)報(bào)文的特征分析可以看出，病毒發(fā)出的掃描報(bào)文都是新建會(huì)話的報(bào)文，并且源IP地址保持不變，通過限制每一個(gè)源IP地址所發(fā)出的新建會(huì)話報(bào)文的速率，就可大大降低

10、病毒所造成的危害，減少病毒報(bào)文所占用的出口帶寬。,數(shù)據(jù)包 :2231-:135 SYN :2542-:135 SYN,三、億陽網(wǎng)警防火墻產(chǎn)品介紹,億陽網(wǎng)警防火墻所獲資質(zhì),公安部銷售許可證 國(guó)家保密局頒發(fā)的技術(shù)鑒定證書 國(guó)家信息安全測(cè)評(píng)認(rèn)證中心認(rèn)證 賽迪評(píng)測(cè)中心2002年度精品 2003年百兆防火墻橫向評(píng)測(cè)應(yīng)用創(chuàng)新獎(jiǎng) 2004年中國(guó)網(wǎng)絡(luò)安全系統(tǒng)防火墻技術(shù)與應(yīng)用大會(huì)推薦防火墻 3.15質(zhì)量無投訴、服務(wù)無投訴誠信企業(yè) 產(chǎn)品質(zhì)量滿意、售后服務(wù)滿意十佳企業(yè) 中國(guó)人民解放軍測(cè)評(píng)中心認(rèn)證（B+） 國(guó)家信息安全認(rèn)證產(chǎn)品證書（EAL3級(jí)） ,部分成功案例,

11、中國(guó)證監(jiān)會(huì) 上海證券交易所 深圳證券交易所 中國(guó)工商銀行總行清算中心 中國(guó)人民銀行呼和浩特市中心支行營(yíng)業(yè)部 中國(guó)銀行黑龍江省分行 中國(guó)人民保險(xiǎn)公司廣州分公司 青島萬通證券 武漢人民銀行 吉林省建設(shè)銀行 浙江省某市農(nóng)村信用社 ,中華人民共和國(guó)外交部 中華人民共和國(guó)審計(jì)署 中華人民共和國(guó)民政部 國(guó)家無線電監(jiān)測(cè)中心 國(guó)家貿(mào)易局 黑龍江省政府 哈爾濱市高新技術(shù)開發(fā)區(qū) 吉林省公安廳 北京各個(gè)區(qū)縣金財(cái)、東北三省、河北省等十幾省金財(cái) 江西地稅,億陽網(wǎng)警3000防火墻特點(diǎn),億陽網(wǎng)警防火墻結(jié)合以下設(shè)備的最佳特性： 包過濾防火墻 代理防火墻 狀態(tài)檢測(cè)防火墻,億陽網(wǎng)警防火墻是基于增強(qiáng)的狀態(tài)檢測(cè)安全技術(shù)的混合型防火墻

12、,億陽網(wǎng)警3000防火墻特點(diǎn),專有BOS操作系統(tǒng) 全狀態(tài)檢測(cè)包過濾功能 完全的透明實(shí)現(xiàn) 真正強(qiáng)化的MAC地址綁定功能 基于源地址的策略路由功能 完善可靠的日志服務(wù) 安全靈活的管理方式 智能內(nèi)容過濾功能 超強(qiáng)的擴(kuò)充能力 強(qiáng)大的抗攻擊能力 ,新版防火墻特色,支持物理接口冗余； 支持雙活I(lǐng)SP接入； 支持固/動(dòng)態(tài)鏈路備份的高可用性； 支持用戶（組）策略綁定； NTP支持； 防火墻系統(tǒng)支持對(duì)象中文命名； 活躍連接的查詢、及時(shí)阻斷； 支持對(duì)P2P軟件如BT、eMule/eDonkey的控制；支持對(duì)及時(shí)通訊軟件如QQ、MSN的控制； 支持整合型策略配置； 支持URL過濾，同時(shí)支持白名單和黑名單；,支持路由

13、模式、透明接入（橋模式）、透明路由混合接入等模式，支持模式切換不重新引導(dǎo)防火墻系統(tǒng)； 支持MAC/IP綁定，要求自動(dòng)收集IP、MAC地址的信息，包括手動(dòng)綁定和自動(dòng)綁定兩種方式。 支持對(duì)連接主機(jī)IP的最大連接數(shù)限制功能，支持基于源地址、目的地址的連接速率的控制； 產(chǎn)品支持本地升級(jí)、遠(yuǎn)程在線FTP升級(jí)； 產(chǎn)品支持熱備份，熱備份在產(chǎn)品的各種應(yīng)用模式均適應(yīng)，同時(shí)啟用熱備功能不需要單獨(dú)占用物理端口,新特性！,技術(shù)優(yōu)勢(shì),高性能，新建速率均在15K以上 支持對(duì)P2P軟件如BT、eMule/eDonkey的控制；支持對(duì)及時(shí)通訊軟件如QQ、MSN的控制 支持對(duì)連接主機(jī)IP的最大連接數(shù)限制功能，支持基于源地址、目

14、的地址的連接速率的控制 產(chǎn)品支持本地升級(jí)、遠(yuǎn)程在線FTP升級(jí) 產(chǎn)品支持熱備份，熱備份在產(chǎn)品的各種應(yīng)用模式均適應(yīng)，同時(shí)啟用熱備功能不需要單獨(dú)占用物理端口 NTP支持 ,四、億陽網(wǎng)警防火墻快速安裝,快速安裝準(zhǔn)備,一、了解用戶需求 了解周邊網(wǎng)絡(luò)環(huán)境（交換機(jī)、路由器及相關(guān)配置） 了解用戶業(yè)務(wù)、需要開放的服務(wù)等 二、初始化防火墻 結(jié)合用戶網(wǎng)絡(luò)結(jié)構(gòu)，繪制網(wǎng)絡(luò)拓?fù)鋱D 明確防火墻接入位置，確定接入模式 對(duì)防火墻進(jìn)行初始化設(shè)置 配置日志服務(wù)器地址 增加安全管理員用戶 增加審計(jì)管理員用戶,快速安裝準(zhǔn)備,三、添加相應(yīng)屬性 添加地址屬性、添加服務(wù)屬性、添加時(shí)間屬性 四、規(guī)則設(shè)置 包過濾規(guī)則（按照從寬到細(xì)的順序添加）

15、地址轉(zhuǎn)換規(guī)則 路由管理規(guī)則,快速安裝準(zhǔn)備,五、針對(duì)用戶的要求，對(duì)前面制定的規(guī)則進(jìn)行細(xì)化，關(guān)閉不必要的服務(wù) 六、對(duì)配置規(guī)則進(jìn)行備份 保存當(dāng)前的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 保存當(dāng)前的設(shè)置規(guī)則 導(dǎo)出防火墻的配置規(guī)則,快速安裝準(zhǔn)備,最后步驟 把結(jié)果返回給服務(wù)中心存檔 把導(dǎo)出的規(guī)則設(shè)置跟用戶交代清楚 跟用戶建立快速溝通關(guān)系，及時(shí)響應(yīng),防火墻前面板特征,產(chǎn)品標(biāo)識(shí)（B）：標(biāo)識(shí)億陽防火墻的型號(hào)等信息 電源指示燈：用于指示當(dāng)前防火墻的電源開關(guān)狀態(tài) 內(nèi)網(wǎng)口：一般配置成可信內(nèi)網(wǎng)接口 外網(wǎng)口：一般配置成不可信的外部網(wǎng)絡(luò)接口 DMZ接口：一般配置成?；饏^(qū)，主要用于隔離服務(wù)器網(wǎng)段 配置口：管理員命令行控制的硬件接口，一般為RS232接

16、口,防火墻后面板特性,電源開關(guān)：控制防火墻的電源 電源插孔：適用于AC 220V（正負(fù)偏差5%） 鎖：打開/關(guān)閉防火墻機(jī)箱蓋，增強(qiáng)安全性 注意：以上顯示的是億陽網(wǎng)警BOCO.SFW-3000E型號(hào)防火墻的前后面板，不同型號(hào)的防火墻前后面板會(huì)存在一定差距，但各項(xiàng)標(biāo)識(shí)的功能是一致的,防火墻安裝前注意事項(xiàng),選擇適合的安裝地點(diǎn)： 防火墻應(yīng)安裝在一個(gè)安全場(chǎng)所，即只有安全管理人員可以進(jìn)入的地點(diǎn)。把億陽網(wǎng)警BOCO.SFW-3000防火墻安裝到一個(gè)19吋機(jī)架固定件上，只能由帶有鑰匙的維護(hù)人員才能進(jìn)入此場(chǎng)所或采取其他安全措施來保證設(shè)備的物理安全 不要在具有過多的潮氣、熱量、灰塵或氣載沉降物中的場(chǎng)所，安裝億陽網(wǎng)

17、警BOCO.SFW-3000防火墻 不要把防火墻安裝在強(qiáng)磁場(chǎng)的環(huán)境中，例如靠近電視或監(jiān)視器的地方 要把億陽網(wǎng)警防火墻安裝在一個(gè)通風(fēng)狀況良好的地方。要避免阻塞此設(shè)備一側(cè)的制冷通風(fēng)口，以及背板上的向外排氣的通風(fēng)口,防火墻安裝前注意事項(xiàng),選擇安全的設(shè)備裝置： 只使用和億陽網(wǎng)警BOCO.SFW-3000相配套的電源線 當(dāng)拔掉電源線的時(shí)候，要抓住插塞拔，不要拉電源線 為了保護(hù)億陽網(wǎng)警BOCO.SFW-3000防火墻免受電源波動(dòng)的影響，進(jìn)而造成此設(shè)備的損壞，應(yīng)使用一個(gè)浪涌抑制器或一個(gè)非間斷電源(UPS)。這些設(shè)備應(yīng)該接到獨(dú)立的電源上 把網(wǎng)絡(luò)電纜放在遠(yuǎn)離人踩踏或不絆倒人的地方 為了避免電擊的危險(xiǎn)，不要在電氣

18、擾動(dòng)的時(shí)候安裝億陽網(wǎng)警BOCO.SFW-3000防火墻 從電源上插入和拔掉電源線之前，要始終關(guān)閉億陽網(wǎng)警BOCO.SFW-3000防火墻和其他的設(shè)備,防火墻安裝前注意事項(xiàng),非用戶使用部分的警告： 除非億陽信通有限公司做出了明確的認(rèn)可，否則用戶對(duì)本產(chǎn)品所作的任何改動(dòng)都有可能導(dǎo)致操作此設(shè)備無效 若產(chǎn)品報(bào)廢，應(yīng)該根據(jù)國(guó)家法律和規(guī)定作最終的處置 不要把電話線連向如下接口：以太網(wǎng)口，配置口,Warning！,路由模式接入拓?fù)浣Y(jié)構(gòu),透明模式接入拓?fù)浣Y(jié)構(gòu),五、億陽網(wǎng)警防火墻基本配置,億陽網(wǎng)警BOCO.SFW-3000防火墻可以工作在三種模式下：透明模式（橋模式）、路由模式、混合（透明和路由混和使用）接入模式

19、 配置更為靈活，可以將部分接口配成橋，再跟剩下的接口配置路由方式 支持完全web下配置 支持模式切換不重新引導(dǎo)防火墻系統(tǒng),工作模式,管理方式,命令行 -串口 -SSH WEB/GUI,命令行登錄（超級(jí)終端）,步驟1 取出配置口線，一端接入防火墻配置口，一端接入PC機(jī)配置口 步驟2 啟動(dòng)PC機(jī)和防火墻 步驟3 等待防火墻啟動(dòng)（大約需20秒鐘） 步驟4 打開PC機(jī)“開始程序附件通訊超級(jí)終端”。 步驟5 將超級(jí)終端的初始設(shè)置選定為默認(rèn)值（9600/VT100）,命令行登錄（超級(jí)終端）,防火墻啟動(dòng)后，超級(jí)終端顯示如下登錄界面,輸入以下默認(rèn)口令登錄防火墻控制系統(tǒng)： login: administrato

20、r password: bocoboco 輸入用戶名、口令后，系統(tǒng)出現(xiàn)提示符“BocoFW ”表示已經(jīng)成功登錄防火墻，可以對(duì)防火墻進(jìn)行設(shè)置了,命令行登錄（超級(jí)終端）,也可以通過SSH登錄命令行對(duì)防火墻進(jìn)行管理，登錄過程同串口方式類似 SSH方式適用于遠(yuǎn)程命令行方式對(duì)防火墻進(jìn)行管理 推薦軟件：Putty、SecureCRT,登錄界面（SecureCRT）,提示：輸入”?”可以獲得當(dāng)前可操作命令的提示，如下圖：,初始化配置防火墻,基本配置命令： network interface show network route show policy show save reboot loaddefault

21、 ,我們通過兩個(gè)防火墻配置當(dāng)中最基本的例子來了解如何通過命令行對(duì)億陽網(wǎng)警BOCO.SFW-3000(V2.2.8)防火墻進(jìn)行一些基本的配置。 （注：在知道默認(rèn)IP（9）的前提下，所有的配置，包括模式的切換，都可以通過WEB方式進(jìn)行配置，非常方便直觀）,在路由模式下，可以把私有內(nèi)部網(wǎng)上的內(nèi)部IP地址轉(zhuǎn)換成外部IP地址，用來在外部公眾網(wǎng)絡(luò)上傳輸。進(jìn)入的流量會(huì)被轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)中的初始主機(jī)上 在下面的例子中，我們需要將防火墻配置為路由接入模式，eth0口接入/24網(wǎng)段，地址配置為9，eth1口接入/16網(wǎng)段，地

22、址配置為99,路由模式配置,通過輸入配置命令network interface show 命令可以顯示當(dāng)前網(wǎng)口信息，如下圖： （可以看到其他網(wǎng)口都默認(rèn)為空值，且權(quán)限都為disable，只有eth0存在配置信息。出廠默認(rèn)eth0所有權(quán)限都是打開的）,查看當(dāng)前網(wǎng)口信息,通過network interface eth0 ? 命令可以獲得當(dāng)前可對(duì)eth0進(jìn)行的操作，如下圖：,配置eth0口,eth0出廠默認(rèn)的配置已經(jīng)是9，所以在這里我們可以不用再對(duì)其進(jìn)行配置,配置eth1口,通過network interface eth1的相關(guān)子命令對(duì)eth1進(jìn)行配置，如

23、下圖：,用show命令查看一下剛才對(duì)eth1的配置：,查看eth1口信息,通過network route show命令來查看當(dāng)前的路由信息：,配置路由信息,本例以54為外網(wǎng)關(guān)路由地址，通過network route add default A.B.C.D 命令添加默認(rèn)路由信息，如下圖：,添加默認(rèn)路由,本例中配置從內(nèi)網(wǎng)到外網(wǎng)的路由過程不受任何限制的一個(gè)策略-最簡(jiǎn)單的一種情況 ：全通。,配置策略,以上5步為防火墻快速配置的最基本操作，我們?cè)趯?shí)際情況中還應(yīng)該在具體的每一步針對(duì)不同的應(yīng)用環(huán)境進(jìn)行實(shí)際的設(shè)置 在配置的時(shí)候還應(yīng)該注意，防火墻對(duì)命令輸入的大小寫是進(jìn)行區(qū)分的，比如上面步

24、驟5中配置路由策略的時(shí)候， policy add ANY ANY ANY ANY accept ，ANY必須要為大寫，否則防火墻是不會(huì)識(shí)別的。 在查看完所做的配置確定無誤之后，用save命令保存一下，否則所做的配置只是保留在內(nèi)存中，防火墻重啟之后就會(huì)丟失。,在 (透明/橋接)模式下，不必修改用戶網(wǎng)絡(luò)中設(shè)備的設(shè)置只須將防火墻內(nèi)部網(wǎng)口與要保護(hù)的局域網(wǎng)相連，外部網(wǎng)口與外網(wǎng)相連即可 在下面的例子中，我們需要將防火墻配置為橋模式接入。橋ip配置為9/16，將eth0和eth1都加入到橋br0中。通過network bridge 相關(guān)子命令進(jìn)行配置，如下圖：,透明（橋）模式配置,配置

25、橋權(quán)限信息,通過network bridge br0 access 的相關(guān)子命令可以對(duì)橋br0的權(quán)限進(jìn)行配置：,配置路由信息及策略 br0的路由信息及策略配置與路由模式基本相同，可參照路由模式下配置 以上配置都是即時(shí)生效 基本配置完成后檢查無誤用save命令進(jìn)行配置保存，通過reboot命令重啟防火墻,WEB/GUI管理,使用單機(jī)GUI對(duì)防火墻進(jìn)行管理，需要在管理主機(jī)安裝JAVA運(yùn)行環(huán)境。JAVA運(yùn)行環(huán)境的安裝包可以從隨機(jī)光盤獲取，也可以直接從SUN公司網(wǎng)站上免費(fèi)下載獲得，下載網(wǎng)址如下：,系統(tǒng)登錄,在管理主機(jī)的IE地址欄中輸入被管理防火墻的IP地址并回車，出現(xiàn)下圖所示web界面,根據(jù)提示點(diǎn)擊“

26、當(dāng)前管理系統(tǒng)請(qǐng)從此處進(jìn)入”，出現(xiàn)以下啟動(dòng)界面：,對(duì)出現(xiàn)的下面安全警告確認(rèn)就可以了（首次安裝）,GUI登錄提示框,初次配置所涉及到的工作主要是設(shè)置基本的工作參數(shù)；設(shè)備安裝到位后，可以通過系統(tǒng)缺省的IP地址9來訪問億陽網(wǎng)警BOCO.SFW-3000防火墻，缺省的用戶名為administrator，缺省密碼為bocoboco,一次性口令認(rèn)證,可以選擇認(rèn)證方式為本地認(rèn)證或一次性口令認(rèn)證（OTP認(rèn)證）。當(dāng)您選擇了OTP認(rèn)證之后，請(qǐng)點(diǎn)擊“獲取”以獲得一個(gè)七位的隨機(jī)字符串，如下圖所示,防火墻主界面,對(duì)象管理 用戶管理 網(wǎng)絡(luò)配置 策略管理 系統(tǒng)管理,基本操作,對(duì)象管理,地址對(duì)象添加主機(jī)

27、地址,在網(wǎng)關(guān)對(duì)象管理地址對(duì)象主機(jī)地址中點(diǎn)擊右上角“”添加主機(jī)地址對(duì)象,地址對(duì)象添加主機(jī)地址,主機(jī)地址用來表示一個(gè)單一的IP地址。例如：99,地址對(duì)象添加網(wǎng)絡(luò)地址,地址對(duì)象添加組地址,服務(wù)對(duì)象添加TCP服務(wù)對(duì)象,TCP服務(wù)是指類型為TCP的傳輸層數(shù)據(jù)包。一個(gè)TCP服務(wù)對(duì)象定義網(wǎng)絡(luò)層協(xié)議類型為TCP的一組連續(xù)端口,注意,為了防止某些用戶將0誤作為可用的端口號(hào)，系統(tǒng)并不會(huì)將除了上述兩種表示方式以外的其它的表示方式理解為所有端口：例如，（起始端口為0，結(jié)束端口為255）將被自動(dòng)理解為（起始端口為1，結(jié)束端口為255）；另外，億陽網(wǎng)警BOCO.SFW-3000防火墻系統(tǒng)將不接受結(jié)束

28、端口小于起始端口的表達(dá)方式：例如，（起始端口為900，結(jié)束端口為800）將不被接受。,UDP服務(wù)是指類型為UDP的傳輸層數(shù)據(jù)包。一個(gè)UDP服務(wù)對(duì)象表示類型為UDP服務(wù)的一組連續(xù)端口,服務(wù)對(duì)象添加UDP服務(wù)對(duì)象,ICMP服務(wù)是指類型為ICMP的網(wǎng)絡(luò)層數(shù)據(jù)包。ICMP數(shù)據(jù)包一般用來做各種網(wǎng)絡(luò)層控制數(shù)據(jù)的交換。ICMP數(shù)據(jù)包不存在端口的信息，但是它攜帶有類型標(biāo)記?？梢栽诙x的時(shí)候指定其類型標(biāo)記。 ICMP服務(wù)的配置界面如下：,服務(wù)對(duì)象添加ICMP服務(wù)對(duì)象,IP服務(wù)是范指各種類型的網(wǎng)絡(luò)層數(shù)據(jù)包。實(shí)際上，上面所定義的三種其它類型的服務(wù)其實(shí)都是IP服務(wù)的特例。目前用到的IP服務(wù)類型有限，IP服務(wù)對(duì)象主要用

29、于定義：通用的TCP報(bào)文、通用的UDP報(bào)文、ICMP報(bào)文、AH報(bào)文、ESP報(bào)文。 IP服務(wù)的配置界面如下：,服務(wù)對(duì)象添加IP服務(wù)對(duì)象,服務(wù)對(duì)象添加組服務(wù)對(duì)象,時(shí)間對(duì)象添加時(shí)間對(duì)象,用戶管理,認(rèn)證服務(wù)器,用戶,從用戶管理界面中點(diǎn)擊右上角“添加”，系統(tǒng)彈出如下對(duì)話框：,用戶-添加,用戶-添加,注意,只有administrator組的用戶具有修改三個(gè)系統(tǒng)管理組所包含的用戶信息的權(quán)限。另外，出于對(duì)系統(tǒng)安全的考慮，我們不建議您添加多個(gè)administrator組成員，operator組的成員也可以完成基本的配置 管理員可以對(duì)已有的用戶進(jìn)行修改、刪除操作，也可以添加新用戶。但administrator用戶

30、不能被刪除，也不能被禁用，只能修改密碼和E-MAIL地址。 如果要?jiǎng)h除某用戶，需要先在用戶組中將其刪除。,用戶組,用戶組編輯用戶組,用戶組添加用戶組,在線用戶,通過網(wǎng)關(guān)用戶管理在線用戶可以查看目前在線的用戶信息,網(wǎng)絡(luò)配置,網(wǎng)絡(luò)接口配置,警告： 億陽網(wǎng)警BOCO.SFW-3000防火墻系統(tǒng)可以將所有的網(wǎng)口都被禁用掉。當(dāng)所有的網(wǎng)口被禁用，或沒有被禁用的網(wǎng)口出現(xiàn)了故障，導(dǎo)致無法通過網(wǎng)絡(luò)和圖形界面來訪問的時(shí)候，可以通過串口連接到億陽網(wǎng)警BOCO.SFW-3000防火墻，通過文本界面進(jìn)行配置。如果用戶對(duì)此不熟悉，可以聯(lián)系億陽公司或是代理商，由通過億陽公司認(rèn)證的售后工程師進(jìn)行處理解決,Warning！,雙

31、擊某個(gè)接口，或者選中某個(gè)接口，并點(diǎn)擊“修改”鍵，可以查看該接口的詳細(xì)信息,編輯網(wǎng)卡設(shè)置,透明網(wǎng)橋,通常情況下，具有多個(gè)網(wǎng)絡(luò)接口的網(wǎng)絡(luò)設(shè)備，不同的網(wǎng)絡(luò)接口分別接到不同的網(wǎng)段中。但是有些時(shí)候，我們需要將兩個(gè)相同網(wǎng)段的網(wǎng)絡(luò)連接到一起，這個(gè)時(shí)候就需要讓網(wǎng)絡(luò)設(shè)備工作在一種稱為“透明網(wǎng)橋”的特殊工作模式下 透明網(wǎng)橋的工作模式有如下特點(diǎn)： 1、多個(gè)網(wǎng)絡(luò)接口使用同一個(gè)IP地址，或是不配置IP地址； 2、一個(gè)接口收到的同網(wǎng)段中不屬于自己的數(shù)據(jù)包不是丟棄掉，而是轉(zhuǎn)發(fā)到另外的接口上； 3、所連接的多個(gè)網(wǎng)絡(luò)的配置不受網(wǎng)橋影響，就好像直接連接到一起。 透明網(wǎng)橋通常用于如下兩種情形： 1、配置在主干線路上，進(jìn)行透明的包過

32、濾； 2、配置在交換機(jī)之間，進(jìn)行透明的包過濾。,點(diǎn)擊網(wǎng)關(guān)網(wǎng)絡(luò)配置網(wǎng)絡(luò)接口配置界面上的“透明橋”按鈕來添加一個(gè)透明橋,添加透明網(wǎng)橋,添加透明網(wǎng)橋,路由配置,添加路由,（目前web方式下不支持自動(dòng)檢測(cè)對(duì)應(yīng)MAC，通過命令行可以。具體命令為：network macbind add | del ）,地址綁定,策略管理,訪問控制策略,點(diǎn)擊網(wǎng)關(guān)策略管理訪問控制策略界面上的“”按鈕來添加訪問控制策略,添加訪問控制規(guī)則,訪問控制策略,一個(gè)訪問控制策略包括兩個(gè)部分：匹配條件和對(duì)應(yīng)的操作 匹配條件是指如何從網(wǎng)絡(luò)通信流中找出需要進(jìn)行處理的數(shù)據(jù)包。匹配條件通常包括：源地址；用戶信息；目的地址；目的端口（也就是所使用的

33、服務(wù)）；時(shí)間信息。 操作是指對(duì)包所進(jìn)行的處理。處理包括三種基本的操作：轉(zhuǎn)發(fā)、丟棄和變換。但實(shí)際上，我們并不是簡(jiǎn)單根據(jù)匹配條件來作出這個(gè)決定，而是要根據(jù)一系列的深層分析和處理。 一條訪問控制策略包括：內(nèi)容過濾；流量控制；攻擊防護(hù)；SNAT和DNAT；VPN；連接控制。,添加訪問控制策略,基本數(shù)據(jù)包操作,基本的數(shù)據(jù)包操作是“轉(zhuǎn)發(fā)”或者“丟棄”，也就是說，決定允許滿足匹配條件的數(shù)據(jù)包通過或是將其丟棄。,億陽網(wǎng)警BOCO.SFW-3000防火墻對(duì)數(shù)據(jù)包的缺省操作是“丟棄”，也就是說，沒有匹配到任何訪問控制策略的數(shù)據(jù)包將會(huì)被無條件丟棄。這是由億陽網(wǎng)警BOCO.SFW-3000防火墻的安全特性決定的。反過

34、來說，如果需要對(duì)某個(gè)業(yè)務(wù)進(jìn)行支持，必須要明確配置對(duì)應(yīng)的訪問控制策略，以允許其通過。 除了缺省的丟棄動(dòng)作外，明確配置“丟棄”動(dòng)作的訪問控制策略是對(duì)其它安全策略的重要補(bǔ)充，主要用于描述需要在系統(tǒng)中加以限制的服務(wù)。 技巧：安全策略的作用與其排列次序是有關(guān)系的。因此，如果一個(gè)數(shù)據(jù)包可以匹配到多個(gè)安全策略，將只有第一個(gè)安全策略起效果。一般情況下，“丟棄”動(dòng)作的訪問控制策略會(huì)排在相關(guān)策略的前面。例如我們定義了“允許內(nèi)網(wǎng)工作人員訪問因特網(wǎng)”和“限制內(nèi)網(wǎng)人員使用IM服務(wù)”這兩條訪問控制策略，應(yīng)該將“限制內(nèi)網(wǎng)人員使用IM服務(wù)”放在前面。,基本數(shù)據(jù)包操作,源地址轉(zhuǎn)換(SNAT),億陽網(wǎng)警BOCO.SFW-3000

35、防火墻提供的源地址轉(zhuǎn)換是地址端口轉(zhuǎn)換，可以使用很少的公網(wǎng)地址為眾多的內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)提供支持。地址端口轉(zhuǎn)換，是將數(shù)據(jù)包的源地址，轉(zhuǎn)換為地址池中的某個(gè)地址，并將數(shù)據(jù)包的服務(wù)端口轉(zhuǎn)換為某個(gè)動(dòng)態(tài)的端口。,注意,注意： 一般情況下不要定義從內(nèi)網(wǎng)到任何地址的源地址轉(zhuǎn)換，由于該規(guī)則包括了目的地址是內(nèi)網(wǎng)地址的情況，有可能造成發(fā)往內(nèi)網(wǎng)的某些信息丟失?？梢詫⒃撘?guī)則定義為從內(nèi)網(wǎng)地址到某個(gè)具體網(wǎng)段的源地址轉(zhuǎn)換，或是從內(nèi)網(wǎng)地址到“非”內(nèi)網(wǎng)地址的源地址轉(zhuǎn)換。,目的地址轉(zhuǎn)換，也叫虛擬服務(wù)，主要是對(duì)連接虛擬服務(wù)的數(shù)據(jù)包的目的地址和端口進(jìn)行轉(zhuǎn)換，將其轉(zhuǎn)換到實(shí)際的目的服務(wù)主機(jī)上去。從外網(wǎng)用戶看來，他們連接的是運(yùn)行在防火墻上的

36、虛擬服務(wù)。,目的地址轉(zhuǎn)換(DNAT),策略的順序以及影響,策略的排列順序如下： 描述絕對(duì)禁止的策略，處理通常是丟棄數(shù)據(jù)包，例如禁止感染病毒的機(jī)器訪問網(wǎng)絡(luò)。這些策略需要放到所有策略的最前面。 例外策略和限制策略： 描述例外情況的策略，通常是允許通過。 描述限制情況的策略，通常是丟棄。限制策略是重要的輔助性策略，說明在正常的業(yè)務(wù)流描述中，有必要加以限制的部分。上面描述的例外情況策略配合限制策略使用，限制策略說明限制用戶進(jìn)行訪問的目的、服務(wù)，而例外策略說明不希望對(duì)那些用戶實(shí)施限制等。 一般性描述普通業(yè)務(wù)信息流的策略，通常是允許通過： 源地址轉(zhuǎn)換策略，主要描述內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問； 通過策略，主要描述外網(wǎng)

37、對(duì)DMZ區(qū)中公共服務(wù)器的訪問； 目的地址轉(zhuǎn)換策略，主要用于描述外網(wǎng)/DMZ區(qū)通過DNAT對(duì)內(nèi)網(wǎng)中服務(wù)器的訪問。,調(diào)整訪問控制策略順序,選擇一個(gè)策略條目，然后從菜單上選擇“上移”或者“下移”調(diào)整順序，如下圖所示：,流量控制,綁定：系統(tǒng)強(qiáng)制限定策略所描述的網(wǎng)絡(luò)流量不能超過設(shè)定的值，不能夠借用其它服務(wù)的帶寬或剩余的公共帶寬 獨(dú)占：系統(tǒng)強(qiáng)制保留指定的網(wǎng)絡(luò)流量供策略所描述的服務(wù)使用，禁止別的服務(wù)借用,連接控制,連接控制可以限制某條策略所包含的每一個(gè)地址的數(shù)據(jù)信息流量，包含了兩個(gè)功能：限制最大連接數(shù)和最大連接速率： 選中“最大連接數(shù)”，就代表限制了匹配這一條策略的任一地址的并發(fā)連接數(shù)；選中“最大速率”，就

38、代表限制了每秒最多建立的連接數(shù)。,內(nèi)容過濾,億陽網(wǎng)警BOCO.SFW-3000防火墻可以提供多種內(nèi)容過濾，包括基于關(guān)鍵字的url黑、白名單過濾、p2p下載過濾、即時(shí)通訊過濾，您可以根據(jù)需要為某條策略指定合適的內(nèi)容過濾，例如：如下圖所示，說明當(dāng)前策略開啟了p2p過濾和即時(shí)通訊過濾。,僅僅在策略中設(shè)置內(nèi)容過濾還不能實(shí)現(xiàn)過濾，還需要在管理樹中點(diǎn)擊“內(nèi)容過濾”進(jìn)行內(nèi)容過濾的設(shè)置，如下圖：,內(nèi)容過濾,IDS聯(lián)動(dòng),抗攻擊,億陽網(wǎng)警BOCO.SFW-3000防火墻提供強(qiáng)大的抗攻擊功能模塊，提供connlimit、srcconnrate、dstconnrate、 pingsweep、 icmpflood 、u

39、dpflood 、synflood 、land 、teardrop、smurf、arpattack、pingofdeath等12大類的過濾。 其中teardrop、smurf、arpattack、pingofdeath等4中抗攻擊是系統(tǒng)默認(rèn)打開，也是不可以配置的。,抗攻擊,編輯抗攻擊策略,系統(tǒng)管理,本地升級(jí)的前提條件是用戶本地已經(jīng)有了一個(gè)億陽發(fā)布的升級(jí)包。首先選擇上傳，選中升級(jí)包，然后選中上傳。,本地升級(jí),本地升級(jí),當(dāng)系統(tǒng)提示上傳成功后在上圖的界面中會(huì)出現(xiàn)升級(jí)包的基本信息，選中升級(jí)包，選擇升級(jí)，當(dāng)系統(tǒng)提示升級(jí)成功后，升級(jí)完成,本地升級(jí),在線升級(jí),在線升級(jí),在線升級(jí),選擇后綴名為“*.ugd”的

40、升級(jí)文件，下載，在下載完成后點(diǎn)擊“確定”進(jìn)行在線升級(jí),時(shí)間同步,連接信息,高可用性,特點(diǎn),支持多種接入模式雙機(jī)熱備實(shí)現(xiàn) 同步信息完整，從機(jī)實(shí)時(shí)地讀取主機(jī)的全部網(wǎng)絡(luò)配置及運(yùn)行信息 接管快，最快可以在3秒以內(nèi)接管 支持Adsl和路由兩種方式的鏈路備份模式 實(shí)時(shí)自動(dòng)探測(cè)缺省及備份鏈路狀態(tài)，遇故障按設(shè)定時(shí)間切換,HA配置步驟,設(shè)置ha使用的網(wǎng)口，從已存在的網(wǎng)口中選擇，并點(diǎn)擊“”； 例：設(shè)置ha使用的網(wǎng)口為eth0和eth1口 設(shè)置對(duì)端防火墻ha網(wǎng)口使用的ip,在對(duì)端ip對(duì)話框輸入ip地址； 例：設(shè)置對(duì)端防火墻ha網(wǎng)口使用的ip為： 添加ha工作時(shí)檢測(cè)的工作網(wǎng)口（即心跳口）； 例：從

41、心跳網(wǎng)口的下拉菜單中，選擇ha工作時(shí)檢測(cè)的工作網(wǎng)口eth2 設(shè)置ha為AS工作模式； 例：設(shè)置ha為AS的主機(jī)且采用搶占式切換，搶占時(shí)間為5秒，若設(shè)置ha為非搶占式切換，則不用設(shè)置搶占時(shí)間 啟動(dòng)ha功能。 注意：配置要點(diǎn)擊確定后才會(huì)生效。,HA配置,命令行下的HA配置,主機(jī)配置如下： ha ha_if eth2 ha worktype AS mastar preempt 5 ha peerip ha detectif add eth0 ha detectif add eth1 ha start 從機(jī)配置如下： ha ha_if eth2 ha worktype AS sl

42、ave ha peerip ha detectif add eth0 ha detectif add eth1 ha start,億陽網(wǎng)警BOCO.SFW-3000防火墻可以探測(cè)安全網(wǎng)關(guān)的缺省路由設(shè)備的工作情況，如果在用戶設(shè)定的超時(shí)時(shí)間內(nèi)沒有探測(cè)到缺省路由設(shè)備，則系統(tǒng)將缺省路由指向備份的路由設(shè)備、或者是進(jìn)行ADSL撥號(hào)將缺省路由指向adsl 鏈路，等到缺省鏈路又正常工作了，就將備份鏈路關(guān)閉，啟用缺省的鏈路。鏈路備份不支持橋模式，只在路由模式下才有意義。,鏈路備份,鏈路備份,六、億陽網(wǎng)警防火墻典型應(yīng)用,產(chǎn)品部署,部署： 在安全域邊界上 重要的服務(wù)器區(qū)域邊界 可信網(wǎng)絡(luò)區(qū)域和外部不可信網(wǎng)絡(luò)區(qū)域之間 根據(jù)網(wǎng)絡(luò)特點(diǎn)、用戶需求設(shè)計(jì)方案 配置： 對(duì)進(jìn)出數(shù)據(jù)和協(xié)議進(jìn)行分析 細(xì)化、嚴(yán)格的策略 管理： 定期策略審計(jì) 定期狀態(tài)檢查,Internet/ 公網(wǎng),內(nèi)部網(wǎng),